CN102073953A - 一种网上支付方法及系统 - Google Patents
一种网上支付方法及系统 Download PDFInfo
- Publication number
- CN102073953A CN102073953A CN2009102262008A CN200910226200A CN102073953A CN 102073953 A CN102073953 A CN 102073953A CN 2009102262008 A CN2009102262008 A CN 2009102262008A CN 200910226200 A CN200910226200 A CN 200910226200A CN 102073953 A CN102073953 A CN 102073953A
- Authority
- CN
- China
- Prior art keywords
- parameter
- address
- request
- phishing
- timestamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请实施例公开了一种网上支付方法及系统。本申请实施例所提供的方案,在收到电子支付请求时,通过各种具体的反钓鱼校验,例如通过反钓鱼参数中的时间戳来增加参数的时效性,防止业务参数被重用,发起钓鱼攻击;通过请求来源校验,即通过请求来源白名单判断此次请求的请求来源是否是白名单中的所有者,从而从请求来源上杜绝了其被钓鱼网站所盗用的可能;通过外部调用IP地址与本地获取的IP地址来进行比较,判断外部交易的创建人与内部交易的付款人是否是同一个用户,防止钓鱼网站拿自己创建的交易给他人付款。这些校验方法从各个方面对交易参数进行监控,共同实现对反钓鱼行为的防控。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网上支付方法及系统。
背景技术
随着网络技术的不断发展,人们通过网络进行工作、生活或者学习各方面的活动越来越多。基于网络实现的各种功能和服务极大地方便了人们的工作、生活以及学习的各个方面,但是在网络给人们带来便利的同时,也存在着许多安全隐患,例如目前日益猖獗的“网络钓鱼”。
现有的网络钓鱼的虚假交易的一般过程是:首先登录一个真实的电子商务网站,建立一笔交易(通常为虚拟货币的交易,比如:游戏点卡、QQ币之类),在真实电子商务网站将交易请求参数签名后打包发往电子支付平台的过程中通过网络监听装置窃取到这个交易请求参数,然后通过多种手段,对该交易请求参数进行包装,比如伪造一个电子商务网站(钓鱼网站),再通过诱惑性的语言使得受害者通过该钓鱼网站进行购物,用户在点击支付该钓鱼网站的商品时,电子商务网站将之前在真实电子商务网站上所建立的交易请求参数提交给真实的电子支付平台,这样用户实际上是用自己的钱帮助钓鱼者在电子支付平台上完成了支付,从而让钓鱼者获得商品,钓鱼者再通过销售这些商品从中获利。
发明人通过研究发现,由于现有电子商务网站请求电子支付平台进行电子支付时,必须使用重定向技术将客户的浏览器重定向到电子支付平台进行支付操作。现有电子商务中涉及到的重定向技术主要为外部重定向。外部重定向用于跨系统的页面跳转,这种跳转发生时通过改变当前URL来实现的,用户浏览器的地址栏中的地址就会变为跳转后的新页面的URL。例如在电子商务中,由于需要从电子商务网站页面的URL1跳转到电子支付平台页面URL2,即要进行跨系统的页面跳转,所以必然会涉及到外部重定向,因此会使得URL曝露。正是由于请求参数在不同系统之间的传输,才造成请求参数泄露。虽然钓鱼者无法篡改经过签名的请求参数(由于没有签名的私钥),但是却可以将这组请求参数包进行包装以骗取消费者完成替钓鱼者买单的行为。
发明内容
有鉴于此,本申请实施例的目的是提供一种网上支付方法及系统,避免交易过程中用户参数被挪用的情况,提高网络交易的安全性。
为实现上述目的,本申请实施例提供了如下技术方案:
一种网上支付方法,包括:
支付服务器接收由电子商务服务器发起的电子支付请求,获取电子商务服务器发送的请求参数;
支付服务器根据所述请求参数中指定的签名值对请求参数进行签名校验,如果签名校验未通过则中断当前请求,上述请求参数中包括交易参数及反钓鱼参数,上述反钓鱼参数包括一时间戳;
在通过所述签名校验后,支付服务器获取反钓鱼参数中的时间戳,并将该时间戳与当前系统时间戳进行比较,如果时间差超过预设的时间戳阈值则中断当前请求;否则,进入支付流程;
所述支付流程包括:支付服务器根据请求参数中的交易参数完成支付。
上述时间戳是电子商务平台在发起支付请求时向电子商务平台查询所得。
在通过所述签名校验后,支付服务器获取请求来源白名单,判断所述电子支付请求的请求来源是否在所述请求来源白名单中;若在,则请求来源校验通过继续当前流程,否则中断当前请求。
所述请求来源白名单中记录的内容包括网页的一级域名。
所述反钓鱼参数还包括当前电子支付交易的外部调用IP地址,在通过所述签名校验后,所述方法还包括:
所述支付服务器获取反钓鱼参数中的外部调用IP地址,并获取当前用户的IP地址,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则继续当前请求,否则警告当前用户当前请求可能被钓鱼网站利用。
所述当前用户的IP地址为TCP层的IP地址。
一种网上支付系统,包括:
接收单元,用于接收由电子商务服务器发起的电子支付请求,获取电子商务服务器发送的请求参数;
签名校验单元,用于根据所述请求参数中指定的签名值对请求参数进行签名校验,如果签名校验未通过则中断当前请求,上述请求参数中包括交易参数及反钓鱼参数,上述反钓鱼参数包括一时间戳;
时间戳校验单元,用于在通过所述签名校验后,获取反钓鱼参数中的时间戳,并将该时间戳与当前系统时间戳进行比较,如果时间差超过预设的时间戳阈值则中断当前请求;否则,将本次交易的请求参数送入支付单元;
支付单元,用于根据请求参数中的交易参数完成支付。
可选地,该系统还包括:
请求来源校验单元,用于在签名校验通过后,获取请求来源,获取请求来源白名单,判断所述电子支付请求的请求来源是否在所述请求来源白名单中;若在,则请求来源校验通过,否则中断当前请求;
可选地,该系统还包括:
外部调用IP地址校验单元,用于当所述反钓鱼参数还包括当前电子支付交易的外部调用IP地址时,在签名校验通过后获取反钓鱼参数中的外部调用IP地址,并获取当前用户的IP地址,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则继续当前请求,否则警告当前用户当前请求可能被钓鱼网站利用。
可选地,所述系统为支付服务器。
可见,在本申请实施例中,在收到电子支付请求时,通过各种具体的反钓鱼校验,例如通过反钓鱼参数中的时间戳来增加参数的时效性,防止业务参数被重用,发起钓鱼攻击;通过请求来源校验,即通过请求来源白名单判断此次请求的请求来源是否是白名单中的所有者,从而从请求来源上杜绝了其被钓鱼网站所盗用的可能;通过外部调用IP地址与本地获取的IP地址来进行比较,判断外部交易的创建人与内部交易的付款人是否是同一个用户,防止钓鱼网站拿自己创建的交易给他人付款。这些校验方法从各个方面对交易参数进行监控,共同实现对反钓鱼行为的防控。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请一实施例所提供的方法流程图;
图2为本申请另一实施例所提供的方法的信令交互图;
图3为本申请一实施例所提供的方法的流程图;
图4为本申请一实施例所提供的系统的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
参考图1,为本申请实施例一方法流程图,可以包括以下步骤:
S101,支付服务器接收由电子商务服务器发起的电子支付请求,获取电子商务服务器发送的请求参数;
S102、支付服务器根据所述请求参数中指定的签名值对请求参数进行签名校验,如果签名校验未通过则中断当前请求,上述请求参数中包括交易参数及反钓鱼参数,上述反钓鱼参数包括一时间戳。
本申请实施例所提供的方法主要是针对网络交易中的可能存在的钓鱼现象而进行的。
一个电子支付请求实际上就是一个统一资源定位符(URL,Uniform Resource Locator)请求,URL也被称为网页地址,是因特网上标准的资源的地址。URL请求包括请求协议、域名、端口、路径、目标文件以及请求参数。
本申请实施例中一组请求参数主要包括交易参数部分和签名信息部分。交易参数部分主要包括接口信息、卖家信息、买家信息、请求支付金额、交易订单信息等一些业务参数;而签名信息部分则包括签名方式和签名值等信息,特别的,本申请实施例中,所述签名信息中还包括反钓鱼参数。反钓鱼参数是本申请实施例中为了实现反钓鱼校验而需要使用的参数,包括一时间戳。
校验是指采用指定的签名方式和相应的签名密钥,根据对应的签名内容对签名值进行校验。
S103,在通过所述签名校验后,支付服务器获取反钓鱼参数中的时间戳,并将该时间戳与当前系统时间戳进行比较,如果时间差超过预设的时间戳阈值则中断当前请求。
S104、在通过时间戳校验后,进入支付流程。
所述支付流程为:支付服务器根据请求参数中的交易参数创建支付订单,并与用户交互完成支付。
反钓鱼参数中的时间戳是由电子支付平台提供的一个时间戳,为了提高该时间戳的安全性,防止该时间戳被篡改,在实际应用中,电子支付平台在提供该信息可以提供经过加密的时间戳。
当用户在电子商务网站创建订单后,从电子商务网站向电子支付平台进行跳转时,向电子支付平台查询跳转开始时的时间戳;并将从电子支付平台获取的时间戳作为一个参数与请求时的其他参数一起进行签名。这样在签名阶段该时间戳就被加入了签名信息中。
如果该时间戳被加密,那么在时间戳校验时,支付平台首先采用自身的密钥对该加密后的时间戳进行解密,如果解密失败则说明该时间戳被篡改过,直接跳到错误页面进行提示。
如果得到正确的时间戳明文后,则与当前时间戳进行比较,如果超过阈值则提示失败。
现有电子商务的网络交易中的数据包之所以会被钓鱼者所窃取,最主要的问题就是在重定向过程中,从电子商务网站的页面URL1跳转后到电子支付平台页面URL2的过程中交易请求参数被盗用。本申请实施例中,时间戳的检验目的是为了给跳转时的URL1加上一个时效防止URL1被钓鱼者不断重播。也就是说,同一个URL地址有效期是被这个时间戳进行了限定,超过了阈值则该URL就失效了。
反钓鱼参数中的时间戳的有效期是电子支付平台为该时间戳预设的一个时间阈值(比如30秒),当电子支付平台检测到该时间戳与当前时间戳的差值超过该阈值后该时间戳失效,提交的这笔交易也随之失效。
在一次正常交易过程中,一个买家的交易大致流程为:买家从电子商务网站上选择所需购买的商品,输入收货地址后从电子商务网站的交易页面URL1跳转到支付平台的支付页面URL2来进行支付。需要说明的是,反钓鱼参数中的时间戳记录的是用户发起跳转时的时间。如果用户未立即支付,而是停留了一段时间后才跳转到支付平台,用户在跳转前的停留并不影响用户的正常支付,因为,时间戳的生成是在用户点击“去支付平台付款”按钮时,电子商务网站从支付平台获取的,并直接传递给支付平台的时间。所以,只要是从电子商务平台发起的付款跳转一般都是正常的。可选地,为了进一步增强对反钓鱼行为的预防,在本申请的另一实施例中,还可以在签名校验通过后,对当前交易进行请求来源校验,具体为:
在签名校验通过后,获取请求来源,并获取请求来源白名单,判断所述请求来源是否在所述请求来源白名单中;若在,则请求来源校验通过,否则中断当前请求。
本申请实施例中,请求来源(Referer)可以是HTTP请求中header部分携带的一部分信息,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器当前的页面是从哪个页面跳转过来的,服务器籍此可以获得一些信息用于处理。
白名单即允许进行访问的名单。在传统的应用中,白名单预存的往往是请求来源中完整的路径,请求来源校验往往是将该请求来源的完整路径与预定义的白名单进行匹配,因此白名单的内容会随着允许访问页面的地址变化而变化,通用性并不理想。本申请实施例中采用请求来源的一级域名作为白名单记录的内容,即将请求来源的一级域名与白名单进行匹配,目的是为了判断前一个页面是否是某个指定网站的页面,而并不是判断是否是某个页面,因此提高了白名单的通用性。
可选地,在本申请的其他实施例中,为了进一步地保证网络交易的安全,在签名校验通过后,还可以对当前交易进行外部调用IP地址校验,具体包括:
在签名校验通过后,获取反钓鱼参数中的外部调用IP地址,并获取当前用户的IP地址,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则继续当前请求,否则警告当前用户当前请求可能被钓鱼网站利用。
在进行外部调用IP地址校验有一个前提,即反钓鱼参数中要包括当前交易的外部调用IP地址。外部调用IP地址是电子商务网站获取到的,在电子商务网站上选择进行电子支付用户的IP地址。进行外部调用IP地址校验的目的是为了将外部调用IP地址与访问电子支付平台进行交易支付的用户IP地址进行比对,以保证交易流程中用户身份的一致性。
本申请实施例中,当前用户的IP地址为TCP层的IP地址。
TCP层实际上就是传输控制协议层,本申请实施例中获取的IP地址是与服务器直接相连的发送请求的客户端的IP地址,无论是否经过路由或代理,总是最终与服务器直接相连的那个发送请求的客户端的IP地址。
如果用户使用了代理服务器,那么TCP层的IP地址为代理服务器的IP地址,并非当前访问用户的真实IP地址。虽然如此,只要电子商务网站获取的IP地址与电子支付平台获取的IP地址相同,那么就能通过外部调用IP地址校验。
这里没有获取客户真实IP地址的原因在于,客户的真实IP地址可能需要经过代理和路由多重解析,这些代理和路由的信息可能放在HTTP请求的HEADER部分。而HEADER部分的数据是可以被篡改的,因此并不可靠,所以不采用真实IP地址。而TCP层的IP地址是最终向web服务器发起请求的客户端地址,无论是否采用代理服务器,相对而言该IP地址更为稳定一些,而且对于同一笔正常交易很少会出现购买方和付款方IP地址不同的情况。即使出现,本申请实施例中也可以采用警告策略进行钓鱼防范。因此相对于真实IP地址,TCP层IP地址更适合作IP地址校验的标准。
该外部调用IP地址信息会放在电子商务网站请求电子支付平台时的反钓鱼参数中,并与其他业务参数一起进行签名,防止在传输过程中被恶意篡改。
在进行外部调用IP地址校验时,首先使用电子支付平台自己的密钥对签名后的数据进行解密,如果解密失败则说明该数据被篡改过,直接跳到错误页面进行提示。然后取出数据中的IP地址,与电子支付平台获取的访问者的IP地址比较是否相同。如果相同则继续,否则在下一个页面中警告用户该笔交易的支付有风险。
由于现有的网络交易中一般都会采用数字签名,前文中已经介绍了,数字签名是一个加密的过程,钓鱼网站无法获取电子商务网站自己的私钥,因此无法对交易参数进行签名,因为必须将电子商务网站的签名数据来提交到电子支付平台才能进行正常的交易,所以,钓鱼网站必须通过非法钓鱼手段取得电子商务网站最后签名过的数据,并提交给电子支付平台。本申请实施例所提供的方法在接收到电子支付请求时,不是直接创建交易,而是进行一系列的反钓鱼校验,通过请求来源白名单来对请求者进行过滤,控制参数的使用者为真实的电子商务网站而非钓鱼网站,在此基础上,又通过时间戳校验从请求参数的时效性来防止请求参数被重用,同时还利用外部调用IP地址校验从请求的主体——用户的角度来防止用户A创建的交易拿来给用户B付款这样交易参数被篡改的情况,从而极大地提高了网络交易的安全性。
需要说明的是,本申请实施例所提供方法,在通过前面校验之后所进行的各种反钓鱼,如时间戳校验、请求来源校验以及外部调用IP校验之间相互独立,没有必要的逻辑顺序,实际应用中可以根据需要进行选择。
下面以真实的网络交易为例对本申请实施例所提供的方法进行详细说明。
参见图2,利用本申请实施例所提供的方法进行反钓鱼校验的网络交易方法包括:
S201,用户在一电子商务网站购买商品。
为了方便描述,假设用户在一电子商务网站上购买了一本书名为ABC的书籍。
S202,电子商务网站创建交易参数。
所述交易参数包括购买商品的信息,仍然以上述买书为例,包括书名、出版信息,书的版本信息、价格、购买的本数等等。
S203,电子商务网站获取用户的IP地址。
此时电子商务网站获取的用户的IP地址即为当前网络交易的外部调用IP地址,供后续进行外部调用IP地址校验使用。
S204,电子商务网站向电子支付平台查询本次支付交易的时间戳。,S205,电子商务网站接收电子支付平台返回的本次支付交易时间戳。
如前所述,本次支付交易时间戳是电子商务网站在创建订单后向电子支付平台请求的一个时间戳,该时间戳记录了当前订单创建的具体时间,供后续电子支付平台进行时间戳校验,从时间方面防止用户的参数被钓鱼者挪作他用。
S206,电子商务网站对所获取的参数进行签名,其中,所述参数包括交易参数、用户IP地址以及本次支付交易时间戳。
S207,电子商务网站向电子支付平台发起电子支付请求,在所述请求中携带签名信息。
S208,电子支付平台对当前电子支付请求进行反钓鱼校验,当校验通过时进入步骤S209。
S209,电子支付平台根据电子支付请求创建交易,并要求用户输入支付信息。
S210,用户输入账户密码或者通过网银付款。
S211,电子支付平台向银行网关发送网银转账信息。
S212,银行网关返回网银转账结果。
S213,电子支付平台向电子商务网站返回电子支付结果。
S214,电子商务网站向用户转发电子支付结果。
本申请实施例的反钓鱼校验采取将请求来源校验、时间戳校验以及外部调用IP地址校验结合的方式进行,参见图3,具体包括:
S301,电子支付平台获取电子商务服务器发送的请求参数,根据所述请求参数中指定的签名值对请求参数进行签名校验。
S302,判断是否通过签名校验,如果通过则进入步骤S303,否则进入步骤S309。
签名校验即对数字签名进行校验,是电子支付平台对此次电子支付进行的第一次校验,校验方法为:采用指定的签名方式和相应的签名密钥,根据对应的签名内容对签名值进行校验。
数字签名(Digital Signature)技术是不对称加密算法的典型应用。数字签名的应用过程是,数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理,完成对数据的合法“签名”,数据接收方则利用对方的公钥来解读收到的“数字签名”,并将解读结果用于对数据完整性的检验,以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术,完全可以代替现实过程中的“亲笔签字”,在技术和法律上有保证。
数字签名是个加密的过程,数字签名验证是个解密的过程。
在电子商务的应用场景中,电子商务网站持有签名用的私钥,而电子支付平台持有电子商务网站提供的校验签名用的公钥。私钥只有电子商务网站自己拥有,而公钥是由电子商务网站提供给其他各个电子支付平台所共有的。
S303,电子支付平台根据HTTP请求头部的Referer字段获取请求来源,并获取电子商务网站提供的白名单。
S304,判断该请求来源是否包含在白名单中,如果存在则进入步骤S305,否则进入步骤S309。
请求来源校验是电子支付平台对此次电子支付进行的第二次校验,需要说明的是,本申请实施例中,电子商务网站提供的白名单中记录的是第一域名,即通过判断此次电子支付的请求来源的一级域名是否包含在白名单中。从而保证当前电子支付交易的发起者为真实的电子商务网站而非钓鱼网站。
S305,电子支付平台获取请求参数时间戳,并对该时间戳进行解密处理,将得到的时间戳与当前系统时间戳进行对比,获得两个时间戳的时间差。
S306,判断两个时间戳的时间差是否超过制定的时间阈值,如果未超过则进入步骤S2307,否则进入步骤S309。
S307,电子支付平台获取请求参数中的外部调用IP地址,并从TCP层获取当前用户的IP地址。
S308,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则继续执行后续支付流程,否则进入步骤S309。
S309,异常退出。
在本申请其他实施例中,当外部调用IP地址与当前用户的IP地址不同时,也可以不进入异常退出,而仅仅给出警告,警告用户当前交易可能被钓鱼网站所利用,由用户自行决定是否继续进行当前交易。
本申请实施例中,除了对请求来源进行校验之外,还通过时间戳校验和外部调用IP地址校验分别从时间维度以及请求主体一致性方面来防止反钓鱼网站的攻击。
结合图2与图3可以看出,本申请实施例所提供的方法主要是在电子支付平台中加入了反钓鱼校验,对所有外部交易请求参数进行分析,并根据分析结果决定是否需要拦截该交易。
本申请实施例所提供的反钓鱼校验包括请求来源校验、时间戳校验和/或外部调用IP地址校验。具体地,通过请求来源校验,即通过请求来源白名单判断此次请求的请求来源是否是白名单中的所有者,从而从请求来源上杜绝了其被钓鱼网站所盗用的可能;通过时间戳来增加参数的时效性,防止业务参数被重用,发起钓鱼攻击;通过外部调用IP地址与本地获取的IP地址来进行比较,判断外部交易的创建人与内部交易的付款人是否是同一个用户,防止钓鱼网站拿自己创建的交易给他人付款。这些校验方法分别从各个方面对交易参数进行监控,共同实现对反钓鱼行为的防控。
在实际应用中,可以根据实际需要选择具体的反钓鱼校验,本申请实施例对反钓鱼校验的具体类型和结合方式不做限定。
参见图4,本申请另一实施例还提供了一种网上支付系统,该系统包括:接收单元401,用于接收由电子商务服务器发起的电子支付请求,获取电子商务服务器发送的请求参数;
签名校验单元402,用于根据所述请求参数中指定的签名值对其他参数进行签名校验,上述请求参数中包括交易参数及反钓鱼参数,上述反钓鱼参数包括一时间戳;
时间戳校验单元403,用于在通过所述签名校验后,获取反钓鱼参数中的时间戳,并将该时间戳与当前系统时间戳进行比较,如果时间差超过预设的时间戳阈值则中断当前请求;否则,将本次交易的请求参数送入支付单元;
支付单元404,根据请求参数中的交易参数创建支付订单,并与用户交互完成支付。
可选地,为了进一步增强对反钓鱼行为的预防,在本申请的另一实施例中图4所示的平台中还包括:
请求来源校验单元405,用于在签名校验通过后,获取请求来源白名单,判断所述电子支付请求的请求来源是否在所述请求来源白名单中;若在,则请求来源校验通过,将本次交易的请求参数送入支付单元,否则中断当前请求。
优选地,本申请实施例中,请求来源可以通过HTTP请求的header部分携带。
优选地,本申请实施例中请求来源白名单中记录的是网页的一级域名。这样,在进行请求来源校验时,只需要判断请求来源的一级域名是否在白名单中即可。
可选地,在本申请的其他实施例中,为了进一步地保证网络交易的安全,图4所示的平台还包括:
外部调用IP地址校验单元406,用于在签名校验通过后,获取请求参数中的外部调用IP地址,并获取当前用户的IP地址,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则,将本次交易的请求参数送入支付单元,,否则警告当前用户当前请求可能被钓鱼网站利用。
需要说明的是,外部调用IP地址校验单元在进行外部调用IP地址校验有一个前提,即反钓鱼参数中要包括当前交易的外部调用IP地址。
在本发明其他实施例中,可以将本发明实施例所提供的时间戳校验单元、请求来源校验单元以及外部调用IP校验单元中的任意两个或者全部结合起来使用,实现跟为完善的安全校验方案,本申请对各种结合方式不做限定。
在原反钓鱼平台的基础上增加外部调用IP地址校验单元,通过进行外部调用IP地址校验从请求主体方面防止了钓鱼攻击,即有效防止了用户A创建的交易被用来给用户B付款这种交易参数被盗用的钓鱼行为的出现。
本申请实施例所提供的平台在收到电子支付请求时,通过各种具体的反钓鱼校验,例如通过时间戳校验来增加参数的时效性,防止业务参数被重用,发起钓鱼攻击;通过请求来源校验,即通过请求来源白名单判断此次请求的请求来源是否是白名单中的所有者,从而从请求来源上杜绝了其被钓鱼网站所盗用的可能;通过外部调用IP地址与本地获取的IP地址来进行比较,判断外部交易的创建人与内部交易的付款人是否是同一个用户,防止钓鱼网站拿自己创建的交易给他人付款。这些校验方法从各个方面对交易参数进行监控,共同实现对反钓鱼行为的防控。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本申请可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
Claims (12)
1.一种网上支付方法,其特征在于,包括:
支付服务器接收由电子商务服务器发起的电子支付请求,获取电子商务服务器发送的请求参数;
支付服务器根据所述请求参数中指定的签名值对请求参数进行签名校验,如果签名校验未通过则中断当前请求,上述请求参数中包括交易参数及反钓鱼参数,上述反钓鱼参数包括一时间戳;
在通过所述签名校验后,支付服务器获取反钓鱼参数中的时间戳,并将该时间戳与当前系统时间戳进行比较,如果时间差超过预设的时间戳阈值则中断当前请求;否则,进入支付流程;
所述支付流程包括:支付服务器根据请求参数中的交易参数完成支付。
2.根据权利要求1所述的方法,其特征在于:上述时间戳是电子商务平台在发起支付请求时向电子商务平台查询所得。
3.根据权利要求2所述的方法,其特征在于,还包括:在通过所述签名校验后,支付服务器获取请求来源白名单,判断所述电子支付请求的请求来源是否在所述请求来源白名单中;若在,则请求来源校验通过,否则中断当前请求。
4.根据权利要求3所述的方法,其特征在于,所述请求来源白名单中记录的内容包括网页的一级域名。
5.根据权利要求2所述的方法,其特征在于,所述反钓鱼参数还包括当前电子支付交易的外部调用IP地址,在通过所述签名校验后,所述方法还包括:
所述支付服务器获取反钓鱼参数中的外部调用IP地址,并获取当前用户的IP地址,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则继续当前请求,否则警告当前用户当前请求可能被钓鱼网站利用。
6.根据权利要求5所述的方法,其特征在于,所述当前用户的IP地址为TCP层的IP地址。
7.一种网上支付系统,其特征在于,包括:
接收单元,用于接收由电子商务服务器发起的电子支付请求,获取电子商务服务器发送的请求参数;
签名校验单元,用于根据所述请求参数中指定的签名值对请求参数进行签名校验,如果签名校验未通过则中断当前请求,上述请求参数中包括交易参数及反钓鱼参数,上述反钓鱼参数包括一时间戳;
时间戳校验单元,用于在通过所述签名校验后,获取反钓鱼参数中的时间戳,并将该时间戳与当前系统时间戳进行比较,如果时间差超过预设的时间戳阈值则中断当前请求;否则,将本次交易的请求参数送入支付单元;
支付单元,用于根据请求参数中的交易参数完成支付。
8.根据权利要求7所述的系统,其特征在于,还包括:
请求来源校验单元,用于在签名校验通过后,获取请求来源,获取请求来源白名单,判断所述电子支付请求的请求来源是否在所述请求来源白名单中;若在,则请求来源校验通过,否则中断当前请求。
9.根据权利要求8所述的系统,其特征在于,所述请求来源白名单中记录的内容包括网页的一级域名。
10.根据权利要求7所述的系统,其特征在于,还包括:
外部调用IP地址校验单元,用于当所述反钓鱼参数还包括当前电子支付交易的外部调用IP地址时,在签名校验通过后获取反钓鱼参数中的外部调用IP地址,并获取当前用户的IP地址,比较外部调用IP地址与当前用户的IP地址是否相同,如果相同则继续当前请求,否则警告当前用户当前请求可能被钓鱼网站利用。
11.根据权利要求10所述的系统,其特征在于,所述当前用户的IP地址为TCP层的IP地址。
12.根据权利要求7~11任意一项所述的系统,其特征在于,所述系统为支付服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102262008A CN102073953A (zh) | 2009-11-24 | 2009-11-24 | 一种网上支付方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009102262008A CN102073953A (zh) | 2009-11-24 | 2009-11-24 | 一种网上支付方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102073953A true CN102073953A (zh) | 2011-05-25 |
Family
ID=44032486
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102262008A Pending CN102073953A (zh) | 2009-11-24 | 2009-11-24 | 一种网上支付方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102073953A (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647461A (zh) * | 2012-03-29 | 2012-08-22 | 奇智软件(北京)有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN102750192A (zh) * | 2012-06-06 | 2012-10-24 | 杭州华三通信技术有限公司 | 一种数据平面异常检测的方法和装置 |
| CN103034942A (zh) * | 2012-12-05 | 2013-04-10 | 北京奇虎科技有限公司 | 用于网络支付的方法及系统 |
| CN103034941A (zh) * | 2012-12-05 | 2013-04-10 | 北京奇虎科技有限公司 | 网络支付方法及系统 |
| CN103400262A (zh) * | 2013-07-24 | 2013-11-20 | 北京奇虎科技有限公司 | 一种浏览器支付链接处理装置和方法 |
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | 中国移动通信集团公司 | 一种检测钓鱼网站的方法及装置 |
| CN103685157A (zh) * | 2012-09-04 | 2014-03-26 | 珠海市君天电子科技有限公司 | 一种基于支付的钓鱼网站的收集方法及系统 |
| CN103903138A (zh) * | 2012-12-31 | 2014-07-02 | 中国移动通信集团湖南有限公司 | 一种支付方法、终端、支付平台及系统 |
| CN104463584A (zh) * | 2014-11-13 | 2015-03-25 | 广东优迈信息通信股份有限公司 | 实现移动端App安全支付的方法 |
| CN104486301A (zh) * | 2014-12-02 | 2015-04-01 | 百度在线网络技术(北京)有限公司 | 登录验证方法及装置 |
| CN105227519A (zh) * | 2014-06-04 | 2016-01-06 | 广州市动景计算机科技有限公司 | 一种安全访问网页的方法、客户端和服务器 |
| CN105321074A (zh) * | 2015-10-09 | 2016-02-10 | 百度在线网络技术(北京)有限公司 | 网络支付鉴权方法和装置 |
| WO2016029795A1 (zh) * | 2014-08-27 | 2016-03-03 | 阿里巴巴集团控股有限公司 | 支付安全性的检测方法和装置 |
| CN105681470A (zh) * | 2012-03-29 | 2016-06-15 | 北京奇虎科技有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN106485487A (zh) * | 2016-10-13 | 2017-03-08 | 中国互联网络信息中心 | 一种网上支付方法、域名系统及网上支付装置 |
| CN106971303A (zh) * | 2017-02-21 | 2017-07-21 | 王宁 | 一种虹膜支付系统 |
| CN107231335A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
| CN107330700A (zh) * | 2017-07-04 | 2017-11-07 | 易联众信息技术股份有限公司 | 一种卡片安全认证支付系统 |
| CN107360139A (zh) * | 2017-06-19 | 2017-11-17 | 努比亚技术有限公司 | 一种移动终端、数据加密方法及计算机可读存储介质 |
| CN107436873A (zh) * | 2016-05-25 | 2017-12-05 | 北京奇虎科技有限公司 | 一种网址跳转方法、装置及中转装置 |
| CN108090768A (zh) * | 2017-11-14 | 2018-05-29 | 阿里巴巴集团控股有限公司 | 一种业务执行的方法及装置 |
| CN108156220A (zh) * | 2017-12-04 | 2018-06-12 | 北京小米移动软件有限公司 | 通信方法及装置 |
| CN108173640A (zh) * | 2017-12-11 | 2018-06-15 | 上海高顿教育培训有限公司 | 一种高安全性的字符串对称加密和解密方法 |
| WO2018153288A1 (zh) * | 2017-02-22 | 2018-08-30 | 腾讯科技(深圳)有限公司 | 数值转移方法、装置、设备及存储介质 |
| CN108718339A (zh) * | 2018-05-23 | 2018-10-30 | 杭州优行科技有限公司 | 数据处理方法、装置及服务器 |
| CN110378817A (zh) * | 2019-07-18 | 2019-10-25 | 珠海读书郎网络教育有限公司 | 一种智慧课堂整班切换学生设备账号的方法和系统 |
| CN110569408A (zh) * | 2019-09-04 | 2019-12-13 | 广州大学 | 一种数字货币溯源方法及系统 |
| CN111915314A (zh) * | 2020-08-10 | 2020-11-10 | 国网电子商务有限公司 | 一种交易信息监测方法及装置 |
| CN112270541A (zh) * | 2020-10-27 | 2021-01-26 | 广州助蜂网络科技有限公司 | 交易风控管理方法、装置、设备以及系统 |
-
2009
- 2009-11-24 CN CN2009102262008A patent/CN102073953A/zh active Pending
Cited By (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102647461B (zh) * | 2012-03-29 | 2016-05-04 | 北京奇虎科技有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN105681470B (zh) * | 2012-03-29 | 2018-12-28 | 北京奇虎科技有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN102647461A (zh) * | 2012-03-29 | 2012-08-22 | 奇智软件(北京)有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN105681470A (zh) * | 2012-03-29 | 2016-06-15 | 北京奇虎科技有限公司 | 基于超文本传输协议的通信方法、服务器、终端 |
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | 中国移动通信集团公司 | 一种检测钓鱼网站的方法及装置 |
| CN102750192A (zh) * | 2012-06-06 | 2012-10-24 | 杭州华三通信技术有限公司 | 一种数据平面异常检测的方法和装置 |
| CN103685157A (zh) * | 2012-09-04 | 2014-03-26 | 珠海市君天电子科技有限公司 | 一种基于支付的钓鱼网站的收集方法及系统 |
| CN103034941A (zh) * | 2012-12-05 | 2013-04-10 | 北京奇虎科技有限公司 | 网络支付方法及系统 |
| CN103034942B (zh) * | 2012-12-05 | 2015-12-02 | 北京奇虎科技有限公司 | 用于网络支付的方法及系统 |
| CN103034942A (zh) * | 2012-12-05 | 2013-04-10 | 北京奇虎科技有限公司 | 用于网络支付的方法及系统 |
| CN103034941B (zh) * | 2012-12-05 | 2016-08-10 | 北京奇虎科技有限公司 | 网络支付方法及系统 |
| CN103903138A (zh) * | 2012-12-31 | 2014-07-02 | 中国移动通信集团湖南有限公司 | 一种支付方法、终端、支付平台及系统 |
| CN103400262B (zh) * | 2013-07-24 | 2017-09-22 | 北京奇虎科技有限公司 | 一种浏览器支付链接处理装置和方法 |
| CN103400262A (zh) * | 2013-07-24 | 2013-11-20 | 北京奇虎科技有限公司 | 一种浏览器支付链接处理装置和方法 |
| CN105227519A (zh) * | 2014-06-04 | 2016-01-06 | 广州市动景计算机科技有限公司 | 一种安全访问网页的方法、客户端和服务器 |
| CN105227519B (zh) * | 2014-06-04 | 2019-11-26 | 广州市动景计算机科技有限公司 | 一种安全访问网页的方法、客户端和服务器 |
| WO2016029795A1 (zh) * | 2014-08-27 | 2016-03-03 | 阿里巴巴集团控股有限公司 | 支付安全性的检测方法和装置 |
| CN105447700A (zh) * | 2014-08-27 | 2016-03-30 | 阿里巴巴集团控股有限公司 | 支付安全性的检测方法和装置 |
| CN104463584A (zh) * | 2014-11-13 | 2015-03-25 | 广东优迈信息通信股份有限公司 | 实现移动端App安全支付的方法 |
| CN104463584B (zh) * | 2014-11-13 | 2018-08-24 | 广东网金控股股份有限公司 | 实现移动端App安全支付的方法 |
| CN104486301B (zh) * | 2014-12-02 | 2018-01-09 | 百度在线网络技术(北京)有限公司 | 登录验证方法及装置 |
| CN104486301A (zh) * | 2014-12-02 | 2015-04-01 | 百度在线网络技术(北京)有限公司 | 登录验证方法及装置 |
| CN105321074B (zh) * | 2015-10-09 | 2019-02-22 | 百度在线网络技术(北京)有限公司 | 网络支付鉴权方法和装置 |
| CN105321074A (zh) * | 2015-10-09 | 2016-02-10 | 百度在线网络技术(北京)有限公司 | 网络支付鉴权方法和装置 |
| CN107231335A (zh) * | 2016-03-24 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 一种业务处理方法及装置 |
| CN107436873A (zh) * | 2016-05-25 | 2017-12-05 | 北京奇虎科技有限公司 | 一种网址跳转方法、装置及中转装置 |
| CN107436873B (zh) * | 2016-05-25 | 2021-05-07 | 北京奇虎科技有限公司 | 一种网址跳转方法、装置及中转装置 |
| CN106485487A (zh) * | 2016-10-13 | 2017-03-08 | 中国互联网络信息中心 | 一种网上支付方法、域名系统及网上支付装置 |
| CN106971303A (zh) * | 2017-02-21 | 2017-07-21 | 王宁 | 一种虹膜支付系统 |
| WO2018153288A1 (zh) * | 2017-02-22 | 2018-08-30 | 腾讯科技(深圳)有限公司 | 数值转移方法、装置、设备及存储介质 |
| CN107360139A (zh) * | 2017-06-19 | 2017-11-17 | 努比亚技术有限公司 | 一种移动终端、数据加密方法及计算机可读存储介质 |
| CN107330700A (zh) * | 2017-07-04 | 2017-11-07 | 易联众信息技术股份有限公司 | 一种卡片安全认证支付系统 |
| CN108090768A (zh) * | 2017-11-14 | 2018-05-29 | 阿里巴巴集团控股有限公司 | 一种业务执行的方法及装置 |
| CN108156220A (zh) * | 2017-12-04 | 2018-06-12 | 北京小米移动软件有限公司 | 通信方法及装置 |
| CN108173640A (zh) * | 2017-12-11 | 2018-06-15 | 上海高顿教育培训有限公司 | 一种高安全性的字符串对称加密和解密方法 |
| CN108173640B (zh) * | 2017-12-11 | 2020-12-15 | 上海高顿教育科技有限公司 | 一种高安全性的字符串对称加密和解密方法 |
| CN108718339A (zh) * | 2018-05-23 | 2018-10-30 | 杭州优行科技有限公司 | 数据处理方法、装置及服务器 |
| CN110378817A (zh) * | 2019-07-18 | 2019-10-25 | 珠海读书郎网络教育有限公司 | 一种智慧课堂整班切换学生设备账号的方法和系统 |
| CN110378817B (zh) * | 2019-07-18 | 2020-11-10 | 珠海读书郎网络教育有限公司 | 一种智慧课堂整班切换学生设备账号的方法和系统 |
| CN110569408A (zh) * | 2019-09-04 | 2019-12-13 | 广州大学 | 一种数字货币溯源方法及系统 |
| CN110569408B (zh) * | 2019-09-04 | 2022-03-11 | 广州大学 | 一种数字货币溯源方法及系统 |
| CN111915314A (zh) * | 2020-08-10 | 2020-11-10 | 国网电子商务有限公司 | 一种交易信息监测方法及装置 |
| CN111915314B (zh) * | 2020-08-10 | 2024-03-29 | 国网数字科技控股有限公司 | 一种交易信息监测方法及装置 |
| CN112270541A (zh) * | 2020-10-27 | 2021-01-26 | 广州助蜂网络科技有限公司 | 交易风控管理方法、装置、设备以及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102073953A (zh) | 一种网上支付方法及系统 | |
| Xie et al. | Blockchain for cloud exchange: A survey | |
| Niranjanamurthy et al. | The study of e-commerce security issues and solutions | |
| Ramzan | Phishing attacks and countermeasures | |
| US11373156B2 (en) | Method, system, and computer readable storage medium for alternative email-based website checkouts | |
| CN101711472B (zh) | 用于验证网页的真实性的方法和系统 | |
| US9105059B2 (en) | Electronic commerce system utilizing custom merchant calculations | |
| JP5657672B2 (ja) | 高信頼性メッセージ記憶、転送プロトコルおよびシステム | |
| US20040078325A1 (en) | Managing activation/deactivation of transaction accounts enabling temporary use of those accounts | |
| US20110246593A1 (en) | Anonymous Email Address Management | |
| US20080140442A1 (en) | Validating e-commerce transactions | |
| JP2000036000A (ja) | 電子商取引における中立的立会人 | |
| CN111461852A (zh) | 一种基于区块链的数据处理方法、装置及可读存储介质 | |
| JP2021504861A (ja) | 保護された電子商取引および電子金融取引のシステム、デバイス、および方法 | |
| US20150294317A1 (en) | System and method for securely transmitting data using video validation | |
| Kanich et al. | No plan survives contact: Experience with cybercrime measurement | |
| Patro et al. | Security issues over E-commerce and their solutions | |
| Sharma et al. | e‐Commerce security: Threats, issues, and methods | |
| Al-Dwairi et al. | Business-to-consumer e-commerce Web Sites: Vulnerabilities, Threats and quality evaluation model | |
| Stöger et al. | Demystifying Web3 Centralization: The Case of Off-Chain NFT Hijacking | |
| US20150379511A1 (en) | Cryptographic trust verification system | |
| US20200126071A1 (en) | System and Method of Synchronized Exchange for Securing Crypto Orders | |
| Rout | Mobile Banking Security: Technological Security | |
| KR20090111127A (ko) | Url 비교를 통한 전자지불버튼 코드의 인증방법 및 이를이용한 개인간 크로스 도메인 전자지급결제중개 시스템 및방법 | |
| KR20000037038A (ko) | 인터넷을 통한 온라인 소프트웨어 판매를 위한 온라인다운로드 시스템 및 재다운로드보안인증시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1153031 Country of ref document: HK |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110525 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1153031 Country of ref document: HK |